Sebuah artikel di thehackernews.com berjudul Python-based bots exploiting PHP, artikel ini membahas tentang kampanye baru yang menargetkan server web yang menjalankan aplikasi berbasis PHP untuk mempromosikan platform perjudian di Indonesia. Para peneliti keamanan siber telah menemukan bahwa bot berbasis Python digunakan untuk mengeksploitasi ribuan aplikasi web.
Serangan ini melibatkan penggunaan GSocket untuk memanfaatkan web shell yang sudah ada di server yang sudah dikompromisis. Sebagian besar serangan ditemukan menargetkan server yang menjalankan sistem manajemen pembelajaran populer (LMS) yang disebut Moodle. Serangan ini juga menambahkan file sistem bashrc dan crontab untuk memastikan bahwa GSocket tetap berjalan bahkan setelah web shell dihapus.
Akses yang diberikan oleh GSocket ke server target digunakan untuk mengirimkan file PHP yang berisi konten HTML yang merujuk ke layanan perjudian online, terutama yang ditujukan untuk pengguna Indonesia. Tujuannya adalah untuk menargetkan pengguna yang mencari layanan perjudian yang diketahui, lalu mengarahkan mereka ke domain lain.
Para peneliti keamanan siber juga menemukan kampanye malware yang luas yang telah menargetkan lebih dari 5.000 situs di seluruh dunia untuk membuat akun administrator yang tidak sah, menginstal plugin berbahaya dari server jarak jauh, dan menyalurkan data kredensial kembali ke sana. Malware ini diberi nama kode WP3.XYZ.
Untuk mengurangi risiko serangan ini, disarankan agar pemilik situs WordPress memperbarui plugin mereka, memblokir domain jahat menggunakan firewall, memindai akun atau plugin admin yang mencurigakan, dan menghapusnya.
Artikel tersebut membahas tentang bot berbasis Python yang mengeksploitasi kerentanan PHP. Bot ini digunakan oleh penyerang untuk mendapatkan akses tidak sah dan mengambil alih server web yang rentan. Mereka memanfaatkan celah keamanan dalam script PHP untuk menginfeksi server dan melakukan berbagai aktivitas jahat, seperti mencuri data atau meluncurkan serangan lain.
Penyerang menggunakan bot ini untuk melakukan serangan otomatis pada banyak target sekaligus, memanfaatkan script yang lemah untuk memperluas jaringan mereka. Artikel tersebut juga menyarankan langkah-langkah pencegahan yang bisa diambil oleh administrator server, seperti memperbarui dan mengamankan script PHP mereka, serta memonitor aktivitas yang mencurigakan.
Info via :
https://thehackernews.com/2025/01/python-based-bots-exploiting-php.html?m=1
